Gouvernance IT : osez la sécurité de l'information !

Gouverner l’IT au service de la sécurité de l’information ?  

Gouverner l’IT, c’est clé. C’est même un formidable exercice d’équilibriste qui peut rapporter gros : la pérennité de votre activité. La gouvernance IT est partout en entreprise. Prévoir un schéma directeur annuel, c’est gouverner. Choisir les bons outils de gestion, c’est gouverner. Agir pour sécuriser les systèmes d’information, c’est gouverner. Prévenir des attaques cyber, c'est gouverner. Le graal pour les entreprises réside dans la poursuite de l’activité et la satisfaction client. Raison de plus pour aller plus loin. Dépasser la simple gestion des coûts ou la restriction de l'outil numérique pour une approche globale : faire de la gouvernance IT un instrument au service de la sécurité de l’information. 

Quelle gouvernance IT et quelle sécurité de l’information adopter ? 

J’aimerais vous partager ma vision “sécurité” : l’importance d’adopter le meilleur standard en sécurité de l’information avec la norme ISO 27001. C’est un projet d’entreprise dense, en documentation et en audit, souvent technique avec une norme à appréhender par les différents métiers d'une même organisation. A l'heure des applications SaaS et de l'IA, il est essentiel d’agir avec une bonne gouvernance pour protéger l’entreprise, ses clients, ses partenaires, ses collaborateurs. 

ISO 27001 nous a appris à nous dépasser chez ITESOFT, à être plus collaboratif et ceci sur le long terme. C’est ce projet de conformité que j’ai mené en transverse avec mes équipes IT et toutes les composantes de l’entreprise.  

Penser global et agir local en sécurité IT pour améliorer en continue outils et processus ? 

Exceller uniquement sur le développement de ses logiciels n’est pas suffisant. En tout cas, cela est clairement insuffisant dans la conception que je me fais de la mission d’un éditeur de logiciels. Il faut porter au sein de la DSI une vision globale des risques ; intégrer les enjeux métier de ses clients, les problématiques IT et digitales, dans sa démarche de conformité et ceci bien au-delà de la réponse à son besoin métier immédiat. 

Sécurité IT, sécurité de l’information, sécurité des systèmes d’information…

Tout le monde parle de sécurité. Pourtant encore beaucoup trop d'acteurs de la Tech en France ne sont pas certifiés ISO 27001. Beaucoup d'organisation ne vivent pas la gestion des risques avec une approche globale. La sécurité est pourtant devenue une exigence. Incontournable ! Et c’est cette vision sécurité que je porte au sein de la Factory Editeurs de logiciels du cluster numérique Digital113.

Le DSI que je suis a la volonté d’inscrire sur le long terme ce virage stratégique pour un éditeur : adopter un standard international en sécurité de l’information afin de garantir l’intégrité et la traçabilité des données et le respect de la conformité des organisations. La sécurité de l’information vous permet aussi de sécuriser l’ensemble des processus opérationnels et techniques. Et bien plus encore ! In fine, elle facilite la résilience numérique tout en assurant la pérennité de votre activité. 

Cyber sécurité vs cyber insécurité choisissez la résilience numérique ! 

Au printemps 2020, la pandémie Covid-19 avait mis à rude épreuve la résilience informatique, la poursuite de l’activité business et de facto le fonctionnement des organisations. La « cyber insécurité » est l’autre pan à adresser. Capitalisons sur cette expérience pour mieux gérer les risques en entreprise. Pensons global ! 

Comment gérer les risques et la sécurité informatique ? 

Se projeter dans un 21^e siècle numérique vous impose cette exigence : la sécurité de l’information. Et les défis ne manquent pas. Ces dernières années, les organisations ont dû faire face à une formidable accélération des chocs économiques (inflation, droits de douane…), multiplication des attaques cyber, sophistication des fraudes, inflation des normes et obligations réglementaires. Le risque est un défi en soi. Pour les entrepreneurs. Pour les organisations aussi.

La maitrise des risques est devenue une priorité au plus haut sommet des organisations avec des exigences de tous les instants. Comment pérenniser son activité ? Comment sécuriser ses données ? Comment accélérer l’innovation tout en répondant à la gestion des risques ? 

La DSI agit concrètement comme une boussole. La caricature du DSI enfermé dans sa tour d’ivoire, je n’en vois plus depuis longtemps. Quand l’IT fonctionne 24/7 en se faisant oublier, quand la DSI s’inscrit dans une politique globale d’amélioration continue et d’innovation des outils et des process, quand elle arrive à gérer et anticiper la gestion des risques, le tout en partenariat avec les métiers, alors oui l’entreprise performe. Dans ce cas, les voyants sont au vert pour que l’entreprise se focalise sur l’essentiel : la satisfaction, la sérénité de nos clients et la délivrance de services SaaS performants. 

Sécurité IT, conformité et résilience numérique 

C’est pourquoi, il reste fondamental de matérialiser sa vision intégrant nativement sécurité, conformité et résilience en s’appuyant sur un schéma directeur des SI “nouvelle génération” ; c’est-à-dire pragmatique, pluriannuel, agile, aligné avec la stratégie de l’entreprise, partagé et surtout orienté création de valeur. 

ISO 27001 : une norme internationale en sécurité de l’information 
La norme technique ISO 27001 désigne un standard international en sécurité de l’information. C'est aussi un différentiateur unique pour les organisations. Pour ITESOFT, la certification ISO 27001:2022 a agi comme un accélérateur de business et un gage de conformité et de sécurité pour nos clients, nos partenaires et nos collaborateurs. 

Quel périmètre de certification ISO 27001 ? 

Attention, le périmètre de certification est essentiel. J’aurai pu faire certifier uniquement la DSI. Facile. Mais en me mettant à la place du client, je me dis que, oui, c’est bien que la DSI de mon éditeur soit certifiée ; mais en réalité, je veux surtout que sa façon de concevoir, installer, paramétrer et opérer son service SaaS soit certifié. Aller chercher le périmètre le plus large de la norme ISO 27001, avec le risque cyber intégré, voilà ce qui a de la valeur pour le client. ISO 27001 :2022 sécurise l’ensemble du traitement des données et de vos processus. Plus large est le périmètre, plus forte est la sécurité.

La sécurité de l’information oblige 

Sensibiliser, former, expliquer, alerter… La sécurité de l’information oblige. Elle est une exigence, comme norme de sécurité, pour l’entreprise et l’ensemble des collaborateurs. De fait, vous devez sensibiliser l’ensemble des collaborateurs. Et ceci vous oblige à transformer vos pratiques, obtenir de nouveaux réflexes informatiques en interne, pour vos collaborateurs en déplacement, en vacances, en réunion visio-conférence avec vos clients ou vos partenaires ou vos prospects clients. Bref, la sécurité ça vous oblige ! 

Pour vous. Pour vos clients. Pour vos partenaires. Pour la Société avec un grand S. La sécurité c’est aussi une question d’acculturation partagée. En tant que DSI, j’ai mis un point d’honneur à organiser des points de session de formation et de sensibilisation mensuelles pour tous nos collaborateurs. Nous continuons aujourd’hui à les évaluer sur leurs connaissances et à leur apprendre à déjouer les attaques de phishing et tout le panel des nouvelles attaques : quishing, deepfake, intelligence économique... Sur la sécurisation du SI comme de nos logiciels, de nombreuses actions de pentests internes comme externes s’organisent chaque mois, chaque trimestre et chaque semestre.

DSI, un aménageur du territoire numérique ? 

Le rôle d’un DSI est parfois complexe, souvent intense et toujours dense en termes de sujets.
Ces derniers ont largement dépassé la “simple” mise à disposition de matériel/logiciel/infrastructure et le maintien en conditions opérationnelles 24/7. Désormais, le quotidien du DSI c’est aussi la gouvernance IT, la stratégie d’entreprise, la satisfaction utilisateurs, le pilotage par la valeur, la sécurité bien entendu, la conformité réglementaire, la veille technologique, les négociations commerciales et juridiques, tout en tenant compte des contraintes budgétaires et de l’alignement stratégique… 

Un DSI au cœur de la stratégie d’entreprise 

Être DSI, c’est donc se retrouver au cœur du réacteur de l’entreprise avec un regard privilégié : à la fois celui d’acteur de terrain mais aussi stratège et influenceur, premier témoin des changements sociétaux et de l’innovation appliquée aux missions de l’entreprise. C’est pourquoi, il y a un lien fort entre la performance d’une entreprise, la valeur créée par ses équipes et le rôle occupé par le DSI.  C’est d’autant plus vrai pour un éditeur de logiciels.

Les entreprises qui appliquent une approche défensive en cantonnant la DSI dans un rôle de simple fournisseur technique ont une vision obsolète et iront inexorablement dans le mur. Le DSI est l’aménageur du territoire numérique et le premier partenaire de la stratégie de l’entreprise. Fort des remontées du terrain, il orchestre et sécurise le SI ; il veille à la conformité au sens large de l’organisation ; il travaille avec les métiers pour les rendre autonomes et performants ; il catalyse par ailleurs l’innovation et la différenciation en participant activement à la création de valeur dans l’entreprise. 

Gouvernance IT : optez pour la sécurité de l’information 

Pour conclure, j'aimerais livrer un petit message aux confrères DSI et aux experts IT et cybersécurité. Vous avez un impact direct sur la performance de votre entreprise. Par la gouvernance IT au service de la sécurité de l'information, vous avez un impact sur la pérennité de l’activité. Peu d’éditeurs en France sont certifiés ISO 27001. ITESOFT l’a fait, pourquoi pas vous ? 

Pour en savoir plus sur la sécurité de l’information :